XenApp and XenDesktop

为 XenDesktop 7 之前版本的 VDA 配置权限

如果用户的 VDA 版本低于 XenDesktop 7,Director 会通过 Windows 远程管理 (WinRM) 从部署中补充有关实时状态和指标的信息。

此外,使用此过程配置 WinRM,使其能与 XenDesktop 5.6 Feature Pack1 中的 Remote PC 兼容使用。

默认情况下,只有桌面计算机的本地管理员(通常为域管理员及其他特权用户)才具有查看实时数据所需的权限。

有关安装并配置 WinRM 的信息,请参阅 CTX125243

要使其他用户能够查看实时数据,必须向其授予相应权限。例如,假定有多个 Director 用户(HelpDeskUserA、HelpDeskUserB 等等)同属于名为 HelpDeskUsers 的 Active Directory 安全组。已在 Studio 中为该组指定了技术支持管理员角色,从而为这些用户提供了必需的 Delivery Controller 权限。但该组还需要具有从桌面计算机访问实时数据所需的权限。

要提供所需的访问权限,可以通过以下两种方式之一配置必需的权限:

  • 向 Director 用户授予权限(模拟模式)
  • 向 Director 服务授予权限(可信子系统模式)

向 Director 用户授予权限(模拟模式)

默认情况下,Director 使用模拟模式:WinRM 与桌面计算机之间通过 Director 用户身份进行连接。因此,Desktop Director 用户必须在该台式机上具有相应的权限。

可以通过以下两种方式(本文档稍后会介绍)之一配置这些权限:

  1. 将用户添加到桌面计算机的本地管理员组中。
  2. 向用户授予 Director 所需的特定权限。此选项避免了授予 Director 用户(例如,HelpDeskUsers 组)计算机上的完全管理权限。

向 Director 服务授予权限(可信子系统模式)

可以对 Director 进行配置,使 WinRM 连接使用服务标识,并仅向该服务标识授予相应的权限,而无需向 Director 用户授予对桌面计算机的相应权限。

在此模式下,Director 用户本身将无权执行 WinRM 调用。他们可以使用 Director 访问数据。

IIS 中的 Director 应用程序池配置为以服务标识方式运行。默认情况下,这是 APPPOOL\Director 虚拟帐户。执行远程连接时,此帐户将显示为服务器的 Active Directory 计算机帐户,例如 MyDomain\DirectorServer$。必须将此帐户配置为具有相应权限。

如果部署了多个 Director Web 站点,则必须将每个 Web 服务器的计算机帐户都置于配置了相应权限的 Active Directory 安全组中。

要将 Director 设置为使用 WinRM 的服务标识而非用户身份,请按高级配置中所述配置以下设置:

Service.Connector.WinRM.Identity = Service
<!--NeedCopy-->

可以通过以下两种方式之一配置这些权限:

  1. 将服务帐户添加到桌面计算机上的本地管理员组中。
  2. 向服务帐户授予 Director 所需的特定权限(如下文介绍)。此选项可避免向服务帐户授予计算机的完全管理权限。

向特定用户或组分配权限

要使 Director 能够通过 WinRM 从桌面计算机访问所需的信息,需要具有以下权限:

  • WinRM RootSDDL 中的读取和执行权限
  • WMI 命名空间权限:
    • root/cimv2 - 远程访问权限
    • root/citrix - 远程访问权限
    • root/RSOP - 远程访问权限和执行权限
  • 这些本地组的成员关系:
    • 性能监视用户
    • 事件日志读者

用于自动授予上述权限的 ConfigRemoteMgmt.exe 工具分别位于 x86\Virtual Desktop Agent 文件夹和 x64\Virtual Desktop Agent 文件夹中的安装介质上以及 C:\inetpub\wwwroot\Director\tools 文件夹中的安装介质上。必须向所有 Director 用户授予上述权限。

要向 Active Directory 安全组、用户和计算机帐户授予这些权限,或授予执行结束应用程序和结束进程操作的权限,使用管理权限从命令提示窗口运行此工具,并在运行时采用以下参数:

ConfigRemoteMgmt.exe /configwinrmuser domain\name
<!--NeedCopy-->

其中 name 为安全组、用户或计算机帐户。

要向某个用户安全组授予所需的权限,请运行:

ConfigRemoteMgmt.exe /configwinrmuser domain\HelpDeskUsers
<!--NeedCopy-->

要向特定计算机帐户授予权限,请运行:

ConfigRemoteMgmt.exe /configwinrmuser domain\DirectorServer$
<!--NeedCopy-->

对于结束进程、结束应用程序和重影操作:

ConfigRemoteMgmt.exe /configwinrmuser domain\name /all
<!--NeedCopy-->

要向某个用户组授予权限,请运行:

ConfigRemoteMgmt.exe /configwinrmuser domain\HelpDeskUsers /all
<!--NeedCopy-->

要显示工具的帮助,请运行:

ConfigRemoteMgmt.exe
<!--NeedCopy-->
为 XenDesktop 7 之前版本的 VDA 配置权限